我有两个企业应用程序(嗯,我有数百个,为此,我们要说两个)。两者都通过Kerberos / SPN利用Windows Auth。
如果我已经登录portal.office.com并转到应用程序[A],则看到重定向到login.microsoftonline.com,然后又重新登录到应用程序[A],而无需使用MFA(大概是因为我在登录portal.office.com时做到了。
但是,再次登录到portal.office.com和goto应用[B]之后,我被重定向到login.microsoftonline.com,它知道我是谁,但是会强制MFA提示。
有问题的帐户在“ MFA用户”屏幕上已禁用“ MFA”,并且两个应用程序都受一条条件访问策略保护,该策略显示“所有应用程序,所有用户都需要MFA”。
在App A的Azure AD登录日志中,无缝登录显示如下:
MFA结果:令牌中的要求满足了MFA要求
在应用B似乎不尊重令牌或令牌不存在的情况下。
有人知道为什么两个大致相同的企业应用程序会有这种不同的行为吗? 我可以采取任何疑难解答步骤吗?
到目前为止,我已经开了三个案件,在放弃之前从未超过1级。 Fiddler的痕迹并没有真正显示出我任何东西。
任何建议都将受到欢迎。
答案 0 :(得分:1)
如果用户使用Windows 10,则有时会发生这种情况。您可能需要安装更新以避免MFA提示。
如果本地需要任何形式的MFA,也会发生这种情况。 https://blogs.technet.microsoft.com/cloudpfe/2017/03/15/multiple-mfa-prompts-connecting-to-office-365/
避免出现多个MFA提示的另一种方法是记住受信任设备的MFA。